Phát hiện phần mềm độc hại mới làm "rung chuyển" mô hình bảo mật macOS, kẻ tấn công đang "nhăm nhe" nhắm đến iPhone

Theo CyberNews, nghiên cứu về mối đe dọa mới do Sophos X-Ops công bố cho thấy xu hướng đáng lo ngại đang ảnh hưởng đến người dùng macOS, đó là một phần mềm độc hại phổ biến hiện đang bắt đầu tấn công máy Mac thường xuyên.

Theo đó, một trong những thủ phạm chính là phầm mềm độc lại AMOS. Báo cáo của Sophos X-Ops viết: “Trước đây, người ta có xu hướng tin rằng macOS ít bị phần mềm độc hại tấn công hơn Windows, có thể là do hệ điều hành này có thị phần thấp hơn Windows và có bộ tính năng bảo mật riêng".

“Theo thời gian, điều đó đã thay đổi”, báo cáo nhấn mạnh.

AMOS là một công cụ độc hại chuyên dụng để đánh cắp dữ liệu nhạy cảm, chẳng hạn như cookie, mật khẩu, dữ liệu tự động điền hoặc nội dung của ví tiền điện tử.

Các thiết bị bị xâm phạm sẽ gửi thông tin đã thu thập được cho một tác nhân đe dọa, người này rất có thể sẽ bán thông tin đó cho những tên tội phạm mạng khác chuyên khai thác dữ liệu.

Các nhà nghiên cứu của Sophos cho biết: "Giá của AMOS đã tăng gấp 3 lần trong năm qua - điều này cho thấy mong muốn nhắm vào người dùng macOS và giá trị của việc này đối với tội phạm".

Các tin tặc khoe khoang trên Telegram rằng AMOS có khả năng thu thập thông tin từ Notes, Keychain và SystemInfo, lấy được mật khẩu MacOS và nhắm mục tiêu vào các trình duyệt phổ biến, đánh cắp thông tin tự động điền, cookie và mật khẩu (chỉ dành cho Safari – cookie). Danh sách các ví tiền điện tử và plugin bị ảnh hưởng bao gồm Electrum, Binance, Exodus, Atomic và Coinomi.

Việc tìm kiếm nạn nhân và triển khai phần mềm độc hại không quá khó, vì tội phạm mạng gần đây đã bắt đầu chuyển từ lừa đảo truyền thống sang đầu độc kết quả tìm kiếm bằng quảng cáo độc hại và tối ưu hóa SEO. Theo cách này, các trang web độc hại sẽ xuất hiện ở đầu kết quả tìm kiếm.

Các nhà nghiên cứu của Sophos cho biết: "Một số ứng dụng hợp pháp mà chúng tôi thấy AMOS giả mạo bao gồm Notion, Trello, Arc, Slack và Todoist".

AMOS đã phát triển trong hơn một năm kể từ khi xuất hiện. Để tránh bị phát hiện, mã của nó đã được làm tối nghĩa.

Sophos cảnh báo rằng những kẻ tấn công tạo ra AMOS hiện tuyên bố có khả năng chạy trên cả iOS. “Chúng tôi đang mong đợi một sản phẩm iOS mới dành cho đại chúng. Các cuộc thử nghiệm đã cho thấy thành công. Mức giá được đưa ra sẽ phù hợp”, một trong những bài đăng của tội phạm mạng viết.

Đạo luật Thị trường Kỹ thuật số (DMA) của EU yêu cầu Apple mở nền tảng cho các thị trường ứng dụng thay thế và đây có thể là động lực thúc đẩy các nhà phát triển phần mềm độc hại. Họ có thể bắt đầu phân phối các phiên bản iOS của AMOS từ các trang web độc hại, như họ đang làm hiện nay để nhắm vào người dùng macOS.

Trước tình hình trên, Sophos X-OPS khuyến cáo chỉ cài đặt phần mềm đáng tin cậy từ các nguồn hợp pháp và chú ý đến mọi cửa sổ bật lên yêu cầu mật khẩu hoặc quyền.